Giovanni Bassetti Immagine
 Blog di Giovanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
 
 
Di Admin (del 06/10/2009 @ 09:27:25, in Computer Forensics, linkato 1473 volte)
Abbiamo fatto uscire la SFDumper 2.1, finalmente adesso tutti i problemini
sui nomi file e il filtraggio per estensione sono stati risolti.
Try it:
http://sfdumper.sourceforge.net/

Thanks ; - )
Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 05/10/2009 @ 11:36:05, in Computer Forensics, linkato 1242 volte)

Ciao a tutti,
leggevo questo:
http://www.wired.com/threatlevel/2007/08/researchers-ana/
ed ho scaricato il sorgente in C++, quando l'ho compilato ha dato errore, ho corretto l'errore (un INT che doveva diventare un FLOAT e un newline a fine codice), ho ricompilato ed ora funziona bene:

L'ho messo ha disposizione di tutti voi QUI:

Jpegquality.zip


 

Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 16/09/2009 @ 08:55:58, in Annunci, linkato 1697 volte)
Ciao a tutti amici di CFI,
tempo fa si è discusso di creare un'associazione CFI per promuovere alcune cose.
Il progetto è risultato abbastanza arduo da concretizzare, dunque a Giugno, il sottoscritto, Walter Paolicelli e Rocco Gianluca Massa, si sono incontrati per parlare di un new deal dell'associazione World Wide Crime
(http://www.worldwidecrime.it) in essere già da qualche anno, con tanto di statuto, direttivo, corsi e seminari effettuati ecc. ecc.
Morale della favola? Sono entrato nel direttivo ed insieme a Walter e Gianluca, abbiamo messo giù dei punti :

http://nuke.worldwidecrime.it/Associarsi/tabid/78/Default.aspx

che ricordano molto gli intenti che avevamo per CFI.

Non è cambiato niente dall'idea reggente il progetto CFI associazione, gli scopi sono + o - gli stessi, con un occhio di riguardo alla "delocalizzazione" degli eventi, per cercare spargerli su tutto il territorio invece che nelle solite DUE  città.

La quota annuale associativa è di soli 15 euro e stiamo per progettare un primo evento di presentazione....che dire speriamo che questo gemellaggio dia soddisfazione a tutti quelli che sentono il bisogno di formazione ed aggregazione su certe tematiche specifiche.
Grazie a tutti
Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 08/06/2009 @ 18:18:41, in Computer Forensics, linkato 1699 volte)

Denis Frati ed il sottoscritto hanno appena pubblicato l'ultima release di Selective File Dumper, SFDumper per gli amici ;)

Quali sono le novità?

  1. Adesso il software lavora su device e su immagini di tipo raw/ewf/aff e splittate, una grande comodità per tutti.
  2. L'output è più ordinato e pulito.
  3. Non ci sono più errori di output dovuti ai file orfani.
  4. Può essere avviato in modalità "linea di comando" oppure in modalità interattiva (alla vecchia maniera di  SFDumper).
  5. C'è la possibilità di operare al meglio su immagini di device con file system hfs/hfs+, utilizzando le feature messe a disposizione dagli Snapshots di SleuthKit.
  6. Ci sono i numeretti che indicano l'avanzamento del lavoro, mentre il software è in esecuzione.

Insomma sono novità importanti, che hanno eliminato i problemi di recupero su alcuni file ed hanno reso lo strumento molto più flessibile e potente.

Sito del tool http://sfdumper.sourceforge.net .

Muchas gratias ; - )

Articolo (p)Link Commenti Commenti (2)  Storico Storico  Stampa Stampa
 
Di Admin (del 04/06/2009 @ 19:30:18, in SICUREZZA INFORMATICA, linkato 1608 volte)

E' disponibile online il Symantec Phishing Report - Aprile 2009, una panoramica generale sulle tendenze del phishing e alcuni dati interessanti raccolti dal team di esperti di Symantec.
Di seguito, le tendenze principali rilevate:

I phishing toolkit, dei veri e propri kit automatici che facilitano la creazione di siti di phishing, continuano ad essere usati per gli attacchi di tipo fraudolento. Secondo Symantec, il 25% degli URL di phishing sono stati creati tramite questi strumenti. Nonostante però un aumento del 19% negli attacchi tramite toolkit, la proporzione sul totale di phishing del mese è costante.

Sono stati sfruttati più di 113 servizi di web hosting, che hanno rappresentato il 9% degli attacchi. Nonostante le società  di web hosting continuino a migliorare i propri strumenti per limitare gli attacchi, questo tipo di phishing è aumentato del 5% rispetto al mese precedente. Se si considera però il volume totale degli attacchi di phishing, la proporzione di quelli che usano i servizi di web hosting è diminuita rispetto al mese scorso.

Tra i siti in lingua non inglese, i più frequenti sono quelli in francese, seguiti da quelli in italiano e cinese. E' stato rilevato un totale di 3650 siti non inglesi nel mese di aprile, con un aumento del 5% rispetto al mese precedente. Questo aumento può essere il risultato di una crescita del volume totale del numero di messaggi osservati da Symantec negli ultimi mesi.

Il report completo, in lingua inglese, è disponibile al link http://tinyurl.com/qq2x95

Approfondimenti e discussione in occasione del Symantec Technology Day Scenario 2009, Milano, Teatro Franco Parenti, 9 giugno 2009, ore 9.30.

Registrazione: http://symantec.freedatalabs.com/

Seguici su Facebook per essere aggiornato in anteprima su eventi e pubblicazioni Symantec: http://www.facebook.com/pages/Symantec-Technology-Day/74719484173

Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 27/05/2009 @ 07:39:54, in Computer Forensics, linkato 2502 volte)

Il periodo è favorevole, la primavera del 2009 si apre con la nuova edizione del libro di Andrea Ghirardini

http://www.apogeonline.com/libri/9788850328161/scheda

con una cospicua estensione di argomenti, approfondimenti e migliorie.
Approfitto di questo post per ringraziare pubblicamente Andrea di aver citato la distro CAINE oltre che il sottoscritto
e Denis Frati, come sviluppatori di SFDumper.
Poi anche il mio libro INDAGINI DIGITALI ha ricevuto una bella svolta, infatti oltre ad esser stato aggiornato (ora è di 92 pagine), oggi la LULU.COM ( www.lulu.com/content/1356430 ) mi ha comunicato che è stato selezionato da AMAZON.COM (mica ciufoli), che lo ha inserito nel suo catalogo.

Amazon indagini digitali

http://www.amazon.com


Articolo (p)Link Commenti Commenti (4)  Storico Storico  Stampa Stampa
 
Di Admin (del 08/05/2009 @ 12:32:43, in Annunci, linkato 2042 volte)

Milano, 9 giugno 2009 - Teatro Franco Parenti.

Sul palco di SCENARIO le sfide di oggi e le soluzioni per il domani.

Sale sul palco del Teatro Parenti di Milano SCENARIO, l'evento dell'anno targato SYMANTEC. Nella mattinata, condotta da Beppe Severgnini, sarà presentata una panoramica sulla situazione attuale e sulle previsioni future del business. E di seguito la proposta Symantec in tema di storage, security, availability e data management. Il pomeriggio sarà dedicato a tre sessioni parallele per affrontare dal punto di vista tecnico e del ROI i temi proposti.

Maggiori informazioni e registrazione:

:: Symantec:
http://symantec.freedatalabs.com

:: Facebook: invia in anteprima le tue domande ai relatori http://www.facebook.com/groups.php?ref=sb#/pages/Symantec-Technology-Day/74719484173


:: Linkedin:
http://events.linkedin.com/Symantec-Technology-Day-Scenario-2009/pub/65034

Articolo (p)Link Commenti Commenti (0)  Storico Storico  Stampa Stampa
 
Di Admin (del 12/04/2009 @ 17:25:36, in Computer Forensics, linkato 18617 volte)

Raw2FS, acronimo che serve ad indicare lo scopo di questo mio nuovo bash script per Linux, ossia ricondurre i nomi dei file estratti con tool come Foremost, al nome presente nel file system, con tutto il suo percorso.

Sappiamo che Foremost, come altri carver, salvano i file nominandoli col numero di settore (da 512 bytes), di partenza, in cui questi si trovano, quindi mi serviva uno strumento per risalire all'eventuale nome presente nel file system.
Se il file "carvato" non ha corrispondenza con un i-node allora il tool salva l'output hex/ascii di un settore/cluster/block in  un file di testo.
Tutto è riassunto in un report in HTML.
Ma visto che ero in argomento, perchè non implementare anche una ricerca per stringhe? Raw2Fs permette di cercare più keywords oppure di caricare un file di testo, generato dal "grepping" e riportare tutti i file nel file system che contengono quelle keywords, se invece la keyword è contenuta nello slack space, allora viene salvato l'output hex/ascii di un settore/cluster/block.

Il motore di tutto è questo:
se ho un file nominato 00001234.doc (carving), quel numero "1234" rappresenta il settore in cui il file è stato trovato dal carver, quindi lo si moltiplica per 512 (dimensione minima del settore) e si ottiene l'offset in byes del file, che chiamremo $offcarv.
Poi il tool cerca a quale partizione appartiene il file, trova l'inizio della partizione/spazio non allocato e moltiplica lo starting sector x la dimensione del settore/cluster/blocco (es. 1024), che chiameremo $ss, per ottenere l'offset in bytes della partizione, che chiameremo $offbytepart. (ricodiamo che per fat -> settore, ntfs -> cluster, ext2/3 -> blocco).

Ed ecco la formuletta:

($offcarv - $offbytepart) / $ss

Ossia l'offset del file carvato - l'offset di inizio partizione diviso la grandezza del settore/cluster/blocco usato in quella partizione da quel file system.
Poi tramite i tools dello SleuthkitRaw2Fs fa tutto il resto.... :)
Per le keywords stesso discorso, solo che nel file derivante dalla ricerca con strings e grep, si trovano già gli offset in bytes delle stringhe, quindi non c'è bisogno di moltiplicare per 512.

Dopo quest'ennesima "fatica", ho pensato di lanciare il sito:

http://scripts4cf.sf.net

contenente alcuni scripts utili, ad oggi realizzati da me e da Denis Frati, ma aperto ad ospitare anche scripts fatti da altri, insomma una vera e propria piccola biblioteca di tools costruiti dagli "investigatori digitali", man mano che si trovano a dover affrontare e risolvere i problemi che incontrano durante le loro indagini e/o esercizi.
Spero di aver fatto cosa utile... ;)

Articolo (p)Link Commenti Commenti (1)  Storico Storico  Stampa Stampa
 
Di Admin (del 09/04/2009 @ 19:39:06, in Computer Forensics, linkato 2003 volte)

Ormai il Web 2.0 impazza, siamo tutti più o meno protagonisti in varie piazze virtuali, ci si innamora, si litiga, si stringono amicizie, si fanno guerre ideologiche, ci si critica, insomma tutto il bene e tutto il male che l'uomo può esprimere.

Diffamazione, stalking, violazione del copyright, ecc. ecc. sono tra i fatti, che posson accadere sul web, ma tecnicamente e giuridicamente diventa difficile "cristallizare"  una pagina web e farne una copia conforme, perchè essa è spesso dinamica, essa spesso cambia, il proprietario ne altera il contenuto appena sente puzza di bruciato e tante altre motivazioni, note a chi si occupa di computer forensics.

Ecco che Gianni Amato e Davide Baglieri, con il testing ed i suggerimenti di tanti membri di CFI (Computer Forensics Italy), compreso lo scrivente, hanno sviluppato HashBot  http://www.hashbot.com/.

Curiosi di saperne di più? Lascio l'approfondimento ad uno dei suoi creatori:

http://www.gianniamato.it/2009/04/hashbotcom-congela-un-documento-web-e.html

Buona lettura ;)

Articolo (p)Link Commenti Commenti (1)  Storico Storico  Stampa Stampa
 
Di Admin (del 26/03/2009 @ 19:06:06, in Computer Forensics, linkato 7944 volte)

Con la diffusione dei netbook e dei sistemi che bootano da porta USB, ho proposto a Giancarlo Giustini, il project manager di CAINE (la Linux Live distro per la computer forensics), di realizzarne una versione bootabile da usb e lui mi ha dato "luce verde". : - )

L'abbiamo chiamata NBCAINE (NetBook Caine) ed ora passo ad una breve descrizione:

NBCAINE è un'immagine raw (dd, bitstream, ecc.), di un pendrive da 1GB, contenente la versione LiveUsb di Caine e la parte Windows side rappresentata da Wintaylor, inoltre si sono aggiunti altri tools per l'analisi live su sistemi windows.
In questo modo si ha in tasca un sistema veloce e pronto per il futuro dei nostri PC, che permette di compiere le stesse operazioni di un LiveCd Linux ed anche di fare un'analisi live su un sistema Windows based, grazie a Wintaylor, che annovera tool utilissimi come, per esempio, WFT.

Come si usa:

 Una volta scaricata l'immagine si deve aprire una terminal window e:

1) gzip -d nbcaine.dd.gz  (L’immagine va prima scompattata con gzip)
2) sudo dd if=nbcaine.dd of=/dev/sdX (dove /dev/sdX è la vostra pendrive vergine)

Fatto questo potete aggiungere il plugin Flash, manualmente, andando nella directory

/casper/flash.dir/usr/lib/xulrunner-addons/plugins/

della vostra neonata pendrive ed aggiungere il file libflashplayer.so presente nella versione .tar.gz del plugin scaricabile da QUI.

E per chi ha pendrive più grandi di 1GB? Non c'è problema funziona ugualmente.... ; - )

DOWNLOAD NBCAINE

Articolo (p)Link Commenti Commenti (5)  Storico Storico  Stampa Stampa
 
Pagine: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Ci sono 96 persone collegate

< settembre 2017 >
L
M
M
G
V
S
D
    
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
             

Cerca per parola chiave
 

Titolo
Annunci (62)
CHI SONO (4)
Computer Forensics (105)
SICUREZZA INFORMATICA (6)
TuttoStorto (16)

Catalogati per mese:

Gli interventi più cliccati

Ultimi commenti:
Grazie a tutti quell...
11/09/2017 @ 19:34:32
Di Raymond
Piccola Offerta di c...
11/09/2017 @ 11:34:02
Di credito.locali.veloce
Salve ho fatto il ro...
19/07/2017 @ 16:15:53
Di Marc






22/09/2017 @ 10:20:17
script eseguito in 31 ms